"D.Lgs. 231/2001: Work in progress e attività dell Organismo di Vigilanza"

Club Finanza d Impresa Compliance e PMI: D.Lgs. 231/2001 Nuovi reati presupposto Aggiornamento delle linee guida per la corretta applicazione in azienda del D.Lgs. 231/2001 "D.Lgs. 231/2001: Work in progress e attività dell Organismo di Vigilanza"

Premessa

L evoluzione normativa e l introduzione di nuove fattispecie di reato ha avuto impatti crescenti Prima fase: Responsabilità ente Reati contro la PA Seconda fase: Salute e Sicurezza Industria/commercio, delitti informatici Colpa e negligenza Terza fase: Reati ambientali Assunzione soggetti senza regolare permesso di soggiorno Reato «preventivo» Quarta fase: Corruzione privata Concussione per induzione What else? 4 Dolo 3 2 1 2001 2007 2007 2009 2011 2012

L introduzione della corruzione tra privati ha aperto una quarta fase con impatti sulle aziende di qualsiasi settore La Legge 6 novembre 2012, n. 190* recante Disposizioni per la prevenzione e la repressione della corruzione e dell illegalità nella pubblica amministrazione amplia il catalogo dei reati-presupposto della responsabilità amministrativa degli enti alle ipotesi di corruzione privata e di concussione per induzione. In particolare: è aggiunto il nuovo art. 319-quater c.p., con il delitto di Induzione indebita a dare o promettere utilità (cd. concussione per induzione), che punisce sia il pubblico ufficiale che induce il privato a pagare, sia il privato che dà o promette denaro o altra utilità. viene riformulata la fattispecie di cui all art. 2635 del c.c. (Corruzione tra privati), con riferimento ai reati di infedeltà a seguito di dazione o promessa di utilità. «Salvo che il fatto costituisca più grave reato, gli amministratori, i direttori generali, i dirigenti preposti alla redazione dei documenti contabili societari, i sindaci e i liquidatori, a seguito della dazione o promessa di denaro o altra utilità, per sé o per altri, compiano od omettano di compiere atti, in violazione degli obblighi inerenti al loro ufficio o degli obblighi di fedeltà, sono puniti con la reclusione da uno a tre anni. Se il fatto è commesso da chi è sottoposto alla direzione o alla vigilanza di uno dei soggetti sopra indicati, si applica la pena della reclusione fino a un anno e sei mesi. Le pene sono raddoppiate se il reato viene commesso da un amministratore, direttore generale, dirigente preposto, sindaco, liquidatore o sottoposto operante presso una società i cui titoli siano quotati in mercati regolamentati italiani o dell Unione europea oppure diffusi tra il pubblico in misura rilevante. * Pubblicata nella G.U. del 13 novembre 2012, n. 265 e in vigore dal 28 novembre 2012

e una prima forma di responsabilità amministrativa per fenomeni di corruzione anche tra soggetti privati è prevista l estensione della Responsabilità Amministrativa dell Ente ex D.Lgs. 231/2001 : art. 25 comma 3: per il reato di concussione per induzione non risulta più limitata alla società pubblica ove operi il funzionario che induce indebitamente il soggetto privato a dare o promettere utilità, ma viene estesa la responsabilità anche alla società privata cui appartiene il soggetto apicale o sottoposto che, assecondando il comportamento induttivo del funzionario pubblico, perfeziona la dazione dell indebito art. 25-ter, comma 1, lett. s-bis: per il reato di corruzione tra privati chiunque dia o prometta denaro o altra utilità alle persone sopra indicate (i.e soggetti apicali e/o sottoposti) è punito con le pene previste al comma 1 dell art. 2635 del c.c. (di cui al punto precedente) sono previste le seguenti sanzioni a carico dell ente: sanzione pecuniaria da 200 a 400 quote per il reato di Corruzione tra privati e sanzione pecuniaria da 300 a 800 quote nonché sanzioni interdittive non inferiori a un anno, per il reato di Induzione indebita a dare o promettere utilità

Il «cantiere 231» è sempre aperto e riguarda numerosi fronti di possibile evoluzione normativa: 25 novembre 2013: la Camera dei Deputati, ha approvato il Disegno di Legge n. 1058 per conferire al Governo la delega per modificare il sistema fiscale al fine di renderlo più «equo, trasparente, orientato alla crescita» Il Governo è quindi stato delegato a: introdurre norme che prevedano forme di cooperazione rafforzata tra le imprese e l amministrazione finanziaria introdurre, per i soggetti di maggiori dimensioni, sistemi aziendali di gestione e controllo del rischio fiscale, con una chiara responsabilità dei controlli interni introdurre incentivi (sotto forma di minori adempimenti e riduzione di sanzioni), anche in relazione ai criteri di limitazione della responsabilità ex D.Lgs. 231/2001

L Agenzia delle Entrate ha già avviato il meccanismo di una nuova evoluzione normativa D.Lgs. 231/2001 responsabilità amministrativa delle società Disegno di Legge n.1058 e Delega al Governo Legislatore Governo Aziende Modello virtuoso del rapporto fiscocontribuenti (Enhanced Relationship) Circolare 25E e progetto pilota «Regime di adempimento collaborativo» per i grandi contribuenti Agenzia delle Entrate

Parte I

Organismo di Vigilanza Struttura Il Decreto non fornisce indicazioni specifiche in ordine alla composizione dell Organismo di Vigilanza, limitandosi a richiedere che detto organismo sia interno all ente, dotato di autonomi poteri di iniziativa e di controllo (cfr. art. 6, lett. b) e che vigili sul funzionamento e l osservanza del modello; nel voluto silenzio normativo, è consentito ipotizzare l istituzione di un Organismo di Vigilanza a composizione sia monocratica che collegiale. Solo per le strutture di più ridotte dimensioni il legislatore ipotizza (cfr. art. 6, comma 4) la possibilità dell organo dirigente di assolvere direttamente i compiti dell Organismo. In merito alla composizione, le associazioni rappresentative degli enti (espressamente chiamate dal Decreto a redigere codici di comportamento per la redazione dei modelli organizzativi) hanno rimesso ai singoli enti la scelta relativa alla composizione dell Organismo, in forma monocratica o collegiale, avendo riguardo alla loro dimensione e complessità organizzativa. L Organismo di Vigilanza può essere identificato in strutture aziendali già esistenti preposte al controllo (es. Comitato per il controllo interno, funzione di Internal Auditing), ovvero, in assenza di queste e come più di frequente si registra nella prassi applicativa, in un organismo costituito ad hoc a composizione collegiale.

Organismo di Vigilanza Requisiti La composizione dell Organismo di Vigilanza deve soddisfare i tre requisiti elaborati in prima battuta dalle linee guida delle principali associazioni rappresentative degli enti e, successivamente, confermati dalla giurisprudenza: Autonomia e indipendenza Requisito garantito dal posizionamento al più elevato livello possibile nell organizzazione aziendale. Nella prassi, l Organismo si colloca di regola come unità di staff con riporto diretto al Consiglio di Amministrazione, senza alcun vincolo di subordinazione gerarchica rispetto all organo sociale. I componenti non sono investiti di funzioni o compiti operativi all interno della Società e non hanno rapporti di parentela con gli amministratori. Professionalità Tale requisito è garantito dal bagaglio di conoscenze giuridiche, di risk management, di esperienza consulenziale e ispettiva, nonché di competenze tecnico-specialistiche (es. campionamento statistico, analisi e valutazione dei rischi, misure per il contenimento dei rischi, flow-charting di procedure e processi e tecniche amministrativo-contabili). Continuità di azione Detto requisito si ritiene soddisfatto qualora l Organismo possa svolgere le proprie funzioni di vigilanza con continuità e, pertanto, potendo dedicarvi il tempo necessario. Nella prassi la continuità d azione è di norma garantita con l inserimento nell Organismo di una risorsa interna all ente. In caso di composizione monocratica, la continuità d azione viene garantita attraverso il supporto al componente di norma esterno da parte di risorse aziendali dedicate.

Organismo di Vigilanza Funzioni e Compiti Funzioni Le funzioni riservate dal Decreto all Organismo di Vigilanza possono riassumersi nelle seguenti: vigilanza sull effettività del modello organizzativo, ossia verifica della coerenza tra le regole del modello e i comportamenti concretamente posti in essere nel contesto aziendale valutazione dell adeguatezza del modello organizzativo, ossia verifica della capacità delle regole ivi contenute di prevenire i comportamenti che si intendono evitare verifica del mantenimento nel tempo dell effettività e adeguatezza del modello organizzativo proposte di aggiornamento del modello organizzativo, a fronte di eventuali modifiche organizzative o normative ovvero di sopravvenute esigenze di correzione o adeguamento. Compiti Nello svolgimento delle proprie funzioni, l OdV può altresì esercitare i seguenti poteri: dotarsi di un proprio regolamento di funzionamento emanare disposizioni e/ ordini di servizio al fine di svolgere le funzioni allo stesso rimesse, individuando i flussi informativi che deve periodicamente ricevere dai responsabili dei processi aziendali identificati a rischio reato accedere, senza preventiva autorizzazione, a ogni informazione e documento aziendale utile e/o necessario per lo svolgimento delle sue funzioni condurre indagini interne, anche di tipo ispettivo ricorrere a professionisti, consulenti esterni e funzioni interne a supporto delle attività di verifica e monitoraggio, ove necessario promuovere iniziative per la conoscenza e la comprensione delle prescrizioni contenute nel Modello e nel D.Lgs. 231/2001.

Organismo di Vigilanza Composizione Chi non può essere nell Organismo Amministratore Unico, Amministratori Delegati, Amministratori Operativi, Direttori Generali ed ogni persona che abbia poteri di gestione ed un budget di spesa (i.e. responsabili di dipartimenti) NON POSSONO ESSERE COMPONENTI DELL ORGANISMO La presenza nell Organismo di uno dei soggetti sopra indicati avrebbe un impatto sull indipendenza dell Organismo stesso e sulla validità ed efficacia del Modello Organizzativo adottato.

Organismo di Vigilanza Composizione Chi può essere nell Organismo di Vigilanza Amministratori indipendenti senza poteri di gestione della società o dipendenti della società che operino nell Internal Audit, nella Compliance o nel Dipartimento Legale interno senza poteri autonomi di gestione e/o budget Consulente legale della società Componente del Collegio Sindacale Professionisti operanti nel settore della compliance al Decreto A partire dal 1 gennaio 2012, nelle società di capitale, il Collegio Sindacale, il Consiglio di sorveglianza e il Comitato per il controllo della gestione possono svolgere tutte le funzioni proprie dell Organismo di Vigilanza (L. 183/2011, art. 14 comma 12 Legge di Stabilità).

Organismo di Vigilanza Il Collegio Sindacale con funzioni di OdV La Legge 183/2011 ha inserito all art. 6, comma 4 bis, del D. Lgs. 231/2001 il seguente comma: «nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell organismo di vigilanza». In proposito, si può pertanto verificare un assorbimento della funzione di Organismo di Vigilanza da parte dell'organo di controllo: l introduzione di tale novità è stata accolta da molte critiche e da qualche isolata voce in favore. ARGOMENTAZIONI A FAVORE Semplificazione del sistema dei controlli societari Contiguità tra le funzioni di controllo proprie del collegio sindacale e le funzioni dell Organismo di vigilanza. Analogie delle caratteristiche di indipendenza dei due organi (art. 2399 c.c.). (Circolare ABI 11 gennaio 2012) ARGOMENTAZIONI CONTRO Dubbi circa la possibilità di garantire il requisito della continuità d azione. Difficoltà di conciliare la nomina a Collegio Sindacale da parte dell Assemblea dei Soci con la nomina a Organismo di Vigilanza da parte del Consiglio di Amministrazione. Discontinuità rispetto alle migliori prassi formatesi nel tempo sul tema della composizione dell OdV.

Organismo di Vigilanza Start-up Best Practice (1/3) Attività di start-up Acquisizione della delibera di adozione del modello organizzativo e di istituzione dell Organismo stesso, nonché del modello organizzativo, della documentazione che ne forma parte (es. matrice delle aree aziendali a rischio-reato, protocolli 231, ecc.) e del codice etico. Istituzione di un libro delle adunanze in cui siano riportati i verbali delle riunioni e scelta delle modalità di archiviazione (anche in formato elettronico) della documentazione a supporto delle attività e di custodia della stessa. Approvazione di un proprio regolamento nel quale siano definite le regole di funzionamento necessarie per svolgere le attività e per assumere le decisioni (es. quorum costitutivi e deliberativi, modalità di convocazione e di svolgimento delle riunioni, ecc.). Verifica dell attivazione della casella di posta elettronica dedicata, a cui dovranno pervenire le segnalazioni di presunte violazioni del modello organizzativo, nonché dell attivazione del numero di fax dedicato (laddove previsto nel modello). Verifica del piano di comunicazione per l informativa al personale aziendale dell adeguamento al decreto 231, attraverso l adozione del codice etico, del modello organizzativo e l istituzione dell Organismo di Vigilanza. Verifica della divulgazione del modello organizzativo al personale aziendale (consegna brevi manu, con messaggio di posta elettronica ovvero pubblicazione sulla intranet aziendale).

Organismo di Vigilanza Start-up Best Practice (2/3) Attività di start-up Verifica del piano di comunicazione ai terzi di adeguamento al D.Lgs. 231/2001 e di divulgazione del Codice Etico. Predisposizione, con il supporto delle funzioni aziendali coinvolte, di un report dei flussi informativi periodici relativi a ciascun processo aziendale rilevante in ambito 231, con indicazione del soggetto responsabile dell invio e delle relative tempistiche. Verifica della definizione di un piano formativo avente ad oggetto i principi generali del decreto 231, il modello organizzativo e il codice etico, nonché dell adeguatezza di detto piano in termini di: capacità di far comprendere gli argomenti trattati differenziazione dei programmi formativi rispetto ai ruoli e responsabilità dei destinatari documentabilità delle attività formative erogate e dei relativi risultati. Verifica inserimento clausole standard 231 nei contratti.

Organismo di Vigilanza Start-up Best Practice (3/3) Attività operative Definizione di un calendario delle riunioni, organizzato su incontri almeno trimestrali. Definizione e approvazione di un piano di azione su base annuale (c.d. Piano di audit), avente ad oggetto la verifica di tutti i processi aziendali esposti a rischio 231. Reporting scritto, attraverso la redazione di una relazione, al Consiglio di Amministrazione, secondo la cadenza prevista nel modello (di regola su base semestrale). Incontri periodici con il vertice aziendale, il Collegio Sindacale/Società di Revisione, il Responsabile del Servizio di Prevenzione e Protezione (per gli aspetti connessi al rispetto della normativa antinfortunistica), con il Responsabile degli adempimenti in materia ambientale (per gli aspetti connessi al rispetto della normativa ambientale) con il Responsabile Information Technology (per gli aspetti connessi all utilizzo del sistema informatico aziendale), con i Direttori di Stabilimento (laddove vi siano siti produttivi). Istituzione di specifici canali informativi con il Collegio Sindacale, ad es. trasmissione istituzionalizzata dei verbali dell OdV all organo sociale di controllo.

Brevi cenni sulla responsabilità dell Organismo di Vigilanza Responsabilità derivanti dalle attribuzioni ex art. 52 D.Lgs. 231/2007 (Decreto Antiriciclaggio). Responsabilità Penale Configurabilità della responsabilità ex art. 40 comma 2 c.p.? Verso la società Responsabilità Civile Verso i terzi

Le responsabilità dell Organismo di Vigilanza Art. 52 Decreto Antiriciclaggio (segue) Gli obblighi posti a carico dell Organismo di Vigilanza dal D.Lgs. 231/2007 hanno, in detto specifico ambito, modificato il ruolo dell Organismo: D.Lgs. 231/2001 Organismo interno all ente, preposto ad attività di monitoraggio e supervisione finalizzate a verificare l efficacia e la tenuta del modello organizzativo adottato. D.Lgs. 231/2007 Organismo interno della società, preposto ad un attività di vigilanza e investigazione sul rispetto della normativa antiriciclaggio contenuta nello stesso D.Lgs. 231/2007, volta a prevenire fenomeni criminali quali il riciclaggio e il finanziamento del terrorismo.

Le responsabilità dell Organismo di Vigilanza Art. 40 comma 2 c.p. Per poter muovere un rimprovero a titolo di reato omissivo improprio ex art. 40 comma 2 c.p., secondo quanto previsto dalla c.d. clausola di equivalenza per la quale: non impedire un evento che si ha l obbligo giuridico di impedire, equivale a cagionarlo, è necessario che il soggetto assuma una posizione di garanzia. La posizione di garanzia, intesa come obbligo di impedire il reato, deve essere distinta dagli obblighi di vigilanza e sorveglianza che non possono da soli fondare una responsabilità omissiva impropria. Detti obblighi non implicano, infatti, anche l attribuzione di poteri necessari ad interrompere o impedire i comportamenti illeciti o irregolari.

Le responsabilità dell Organismo di Vigilanza Art. 40 comma 2 c.p. Si è posto dunque l interrogativo se, per le funzioni e i compiti affidati all OdV ai sensi dell art. 231/2001, questo potesse rivestire una posizione di garanzia e dunque potesse essere chiamato a rispondere penalmente per non aver impedito la commissione del reato presupposto. L Organismo di Vigilanza non può essere considerato soggetto in posizione di garanzia del bene giuridico tutelato, poiché i requisiti di autonomia e indipendenza, professionalità e continuità d azione non implicano poteri di intervento diretto sul modello idonei ad impedire il decorso causale dell evento reato presupposto.

Le responsabilità dell Organismo di Vigilanza Verso la società Dallo svolgimento dei compiti ex art. 6 D.Lgs. 231/2001, potrebbe sorgere in capo all OdV una forma di responsabilità contrattuale nei confronti della società. Il rapporto giuridico instaurato tra la società e i componenti dell Organismo ha per oggetto un obbligazione di mezzi e non di risultato. La società sarebbe chiamata a dimostrare che: l inadempimento è stato causato da insufficiente o inadeguata diligenza nell esecuzione della prestazione (insufficiente o inadeguato esercizio delle attività di vigilanza) la diligenza richiesta deve essere valutata dal giudice ex art. 1176 c.c.: riguardo alla natura dell attività esercitata.

Le responsabilità dell Organismo di Vigilanza Verso i terzi A differenza del Collegio Sindacale che può essere dichiarato responsabile anche verso gli stakeholder, come previsto dall art. 2407 comma 2 c.c. (I Sindaci «sono responsabili solidalmente con gli amministratori per i fatti o le omissioni di questi, quando il danno non si sarebbe prodotto se essi avessero vigilato in conformità degli obblighi della loro carica») L OdV non può rivestire funzioni di tutela nei confronti dei terzi creditori perché non è dotato di poteri idonei ad influire sulle attività e sui comportamenti altrui all interno e all esterno della società.

Parte II

Premesso che l Organismo di Vigilanza ottimale è di tipo collegiale autonomia e indipendenza: requisito garantito con il posizionamento al più elevato livello possibile nell organizzazione aziendale professionalità: garantita dal possesso di competenze giuridiche, di risk management, di tecniche di controllo specialistiche continuità d azione: requisito soddisfatto qualora l Organismo possa svolgere le proprie funzioni con continuità, in via quasi esclusiva e prevalente. Nella prassi la continuità è garantita con l inserimento di risorse interne La composizione dell Organismo di Vigilanza deve soddisfare i tre requisiti elaborati dalle Linee Guida Confindustria e confermati dalla giurisprudenza

e che l OdV rappresenta il nucleo vitale per il funzionamento del modello e per far valere l esimente Le funzioni previste dal D.Lgs. 231/2001 all Organismo di Vigilanza per la condizione esimente possono riassumersi come segue: valutazione adeguatezza del modello ossia verifica della capacità di prevenire i comportamenti che si intendono evitare vigilanza sull effettività del modello ossia verifica della coerenza tra regole e comportamenti posti in essere in azienda verifica del mantenimento nel tempo dell effettività e adeguatezza del modello si dota in autonomia di un proprio regolamento di funzionamento. individua con le strutture aziendali i flussi informativi per lo svolgimento delle verifiche sui processi rilevanti ai fini 231 pianifica ed effettua le attività di monitoraggio sui processi aziendali esposti ai rischi-reato 231 accede ad ogni informazione o documento aziendale utile e/o necessario per lo svolgimento delle relative funzioni aggiornamento del modello a fronte di modifiche organizzative o normative ovvero sopravvenute esigenze di adeguamento Per un effettivo esercizio delle proprie funzioni, l Organismo di Vigilanza esercita una serie di prerogative

La domanda principale è: cosa serve realmente all OdV per poter operare con efficacia ed efficienza? Per essere allineati con i requisiti richiesti dal D.Lgs. 231/2001 (art.6 II c. ) [ ] i modelli di gestione, organizzazione e controllo devono rispondere alle seguenti esigenze: individuare le attività a rischio nel cui ambito possono essere commessi i reati; prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell Ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; prevedere obblighi di informazione nei confronti dell Organismo deputato a vigilare sul funzionamento e l osservanza dei modelli; introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello [ ]

FLUSSI INFORMATIVI: missing in action. Cosa Ogni informazione relativa a comportamenti che possano costituire una violazione delle regole del Modello di Organizzazione, Gestione e Controllo (non rilevano segnalazioni di mancato rispetto di altre normative) Ogni informazione inerente la possibile commissione di reati nell ambito delle attività aziendali Mediante i flussi informativi periodici previsti dalle procedure Come Mediante indagini, laddove ci siano segnali indicativi di situazioni a rischio Mediante segnalazioni spontanee, anche anonime, circa possibili violazioni del Modello di Organizzazione, Gestione e Controllo adottato In che modo E-mail: odv@xyz.com Indirizzo di posta: Organismo di Vigilanza Xyz SpA N. fax: 0XX/12.34.56.78...

Il bagaglio tecnico e le competenze in campo: sono gli elementi chiave dell attività di monitoraggio Le Linee Guida di Confindustria individuano quale connotato dell OdV la professionalità, intesa come il [..] bagaglio di strumenti e tecniche che l Organismo deve possedere per poter svolgere efficacemente l attività assegnata [..]. Il ventaglio di tali competenze è ampio ed articolato: analisi e valutazione dei rischi valutazione delle misure per il contenimento dei rischi medesimi analisi di procedure e processi campionamento statistico competenze specifiche in merito ai diversi reati inclusi nel D.Lgs. 231/2001. Esigenza di risorse dedicate Competenze specifiche non disponibili all interno dell organizzazione Eventuale ricorso a professionalità dedicate per specifici ambiti di intervento

In sostanza è necessario adottare un approccio strutturato e sistematico Piano di monitoraggio Flussi informativi Attività di audit Reporting Guida operativa che disciplina le modalità di svolgimento delle attività. Contiene l indicazione dei processi strumentali che si intende sottoporre a verifica nei singoli periodi di (e.g. trimestri), garantendo la copertura totale degli stessi dell anno solare. Preventiva acquisizione ed analisi dei flussi informativi inviati, a cura dei responsabili di funzione all OdV per verificare le anomalie, le eccezioni e le deroghe procedurali verificatesi nel periodo di riferimento. Verifica del rispetto dei presidi, dei protocolli 231 e delle procedure aziendali attraverso l effettuazione di test guidati da apposite Check List Finalità: documentare le verifiche, evidenziare possibili criticità, raccogliere i commenti del management e definire piani correttivi. Al termine delle attività di audit viene predisposta una relazione informativa sintetica relativa all attività svolta, ai risultati ed alle proposte di intervento correttivo.

Il piano di arrembaggio ehm, monitoraggio Piano di monitoraggio Primo passo per una corretta gestione del monitoraggio è la definizione delle modalità e tempistiche per il corretto svolgimento delle attività di supporto agli Audit periodici, e.g.: corretta schedulazione di ciascun audit, per evitare sovrapposizioni con periodi di particolare impegno delle funzioni (e.g. budget, chiusure di bilancio, progetti speciali, ecc.) identificazione dei processi critici da sottoporre ad audit definizione scadenze per la trasmissione reportistica all OdV recepimento ed analisi dei risultati di precedenti attività di audit definizione scadenze per: condivisione dei rilievi emersi con i process owner e la raccolta dei commenti del management sintesi risultati nell Audit Report.

Ancora i flussi informativi Flussi informativi A seguito della definizione del Piano di Monitoraggio, vengono stabiliti i flussi informativi che periodicamente ciascun Process Owner dovrà compilare, sottoscrivere ed inviare all Organismo di Vigilanza. La gestione dei flussi informativi si articola nelle seguenti principali attività: invio ai Process Owner di una comunicazione di reminder per la trasmissione dei flussi informativi e delle segnalazioni invio ai Process Owner coinvolti nell Audit della comunicazione dell inizio delle attività di verifica raccolta ed archiviazione dei flussi pervenuti (Report di Segnalazione) ed eventuale sollecito di quelli mancanti Riepilogo flussi informativi (per processo) Esempio Report di Segnalazione

Le basi dell audit: obiettivi chiari e ben definiti Attività di audit 1 L attività di audit ha l obiettivo di verificare: la validità delle operazioni la validità della autorizzazioni per l esecuzione delle attività / operazioni la tracciabilità e trasparenza delle operazioni effettuate la correttezza e completezza degli eventi comunicati all Organismo di Vigilanza tramite il Report di Segnalazione E inoltre l occasione per: valutare eventuali modifiche e/o integrazioni da apportare alle procedure ed ai processi rispondere a quesiti e dubbi sorti duranti il periodo di applicazione delle procedure

un po di tecnica è imprescindibile Attività di audit 2 Ricevuti i flussi predisposti per l Organismo di Vigilanza, viene estratto un campione significativo (composto di elementi segnalati e NON segnalati) e si procede con le verifiche. Tale attività viene svolta con il supporto delle specifiche Check List, che riportano: metodologia (estrazione campione, principi di riferimento, ecc.) dettagli circa il campione analizzato modalità per la raccolta e archiviazione delle evidenze documentali conclusioni dell audit con evidenza delle criticità / non conformità emerse e con gli spunti di miglioramento Nelle conclusioni della Check List si classifica quanto rilevato in: Non Conformità (NC): gap, criticità, mancato/inadeguato controllo o inottemperanza previsto dalla procedura di riferimento e dai principi di controllo ex D.Lgs.231/2001 a quanto Osservazioni (Oss): ambiti di miglioramento rispetto alla procedura di riferimento / prassi.

magari con anche qualche spunto migliorativo! Attività di audit 3 Le soluzioni proposte, per ogni area critica, possono essere distinte in: Raccomandazioni al rispetto dei principi di controllo ex D.Lgs.231/01 non garantiti dalle Non Conformità (NC) evidenziate; Suggerimenti, proposte di miglioramento alle attività aziendali indicati tramite le Osservazioni (Oss). I risultati delle verifiche effettuate devono successivamente essere condivisi: con la struttura di Internal Audit, laddove esistente; con i relativi Process Owner, con l obiettivo di illustrare le Non Conformità / Osservazioni rilevate e condividere le possibili raccomandazioni e soluzioni.

Il report che resta nel cassetto non serve a nessuno! Reporting Al termine di ogni intervento di Audit viene predisposta una relazione informativa sintetica contenente indicazioni in merito a: attività svolta risultati raccomandazioni e proposte di miglioramento prossimi passi. La relazione viene discussa nel corso delle riunioni dell Organismo di Vigilanza. L insieme delle relazioni relative alle attività sviluppate nel corso dell anno costituisce la base per i flussi di reporting dall Organismo di Vigilanza al Consiglio di Amministrazione / Collegio Sindacale.

Non ci crederà nessuno, ma: un OdV può apportare valore qualche volta e se ben gestito dall inizio Attività Attività periodiche (annuali) Start-up dell Organismo di Vigilanza Gestione attività di verifica periodica Follow-up evidenze e definizione di ipotesi di soluzione Organizzazione attività / strumenti / flussi informativi e definizione budget di funzionamento Definizione di un Piano di Monitoraggio ben calibrato e realizzazione delle attività di verifica sulla corretta applicazione delle procedure e dei presidi di controllo Assistenza alla gestione delle evidenze emerse e gestione preventiva del rischio di non compliance. Assistenza alla definizione di possibili interventi correttivi Competenze apportate / risultati Supporto alla proprietà e agli amministratori nel controllo interno del business (competenze specialistiche in ambito controllo interno, risk management, tecniche di audit e campionamento, legale, ambientale, salute e sicurezza, etc.) Capitalizzazione di best practice, metodologie di riferimento e lezioni apprese in altre realtà

In sintesi: un modello efficiente mette in moto un meccanismo ben congegnato che si autoalimenta Flussi Informativi 2) L OdV riceve i Flussi e ne analizza il contenuto Organismo di Vigilanza 3 ) L OdV, sulla base delle indicazioni ricevute, decide quali controlli attivare Check List Responsabili di Unità Operative 1) I Responsabili di processo predispongono i Flussi Informativi e li inviano all Organismo di Vigilanza entro le scadenze stabilite. 4) Terminate le attività di analisi e di controllo descritte, l OdV predispone una relazione relativa a: I possibili mutamenti nelle aree di rischio della Società Lo stato di attuazione del Modello I miglioramenti possibili e la sottopone al CdA e al Collegio Sindacale. L OdV riceve anche segnalazioni spontanee relative a possibili violazioni. Relazione al CdA e Collegio Sindacale

nella consapevolezza che qualche volta è anche necessario «sporcarsi le mani»!

Allegato

Lo stato attuale della giurisprudenza con riguardo all OdV Le principali pronunce giurisprudenziali che hanno affrontato negli anni il tema dell Organismo di Vigilanza si sono incentrate, perlopiù, sulla verifica della sussistenza dei requisiti di autonomia, indipendenza, professionalità e continuità di azione. A tale riguardo la giurisprudenza penale ha avuto, infatti, modo di evidenziare in più occasioni l essenzialità di tali requisiti sia ai fini dell idoneità formale del Modello Organizzativo, sia a garanzia di una effettiva operatività dell Organismo di Vigilanza. Di seguito si richiamano alcuni dei più recenti pronunciati che hanno di fatto ribadito l orientamento consolidatosi in anni di applicazione giurisprudenziale del D.Lgs. 231/2001.

Tribunale di Milano, ufficio GUP, sentenza 17 novembre 2009 Il Tribunale di Milano, con una pronuncia storica, per la prima volta ha assolto una società dall illecito amministrativo dipendente dal reato di aggiotaggio, per il quale erano stati imputati il Presidente del Cda e l Amministrato Delegato. (Caso Impregilo) La società è stata assolta grazie all accertamento della condizione esimente, richiesta dal D.Lgs. 231/2001 e, quindi, all adozione tempestiva del Modello Organizzativo nei termini stabiliti e in conformità alle Linee guida indicate da Confindustria. Nelle motivazioni il Giudice ha dato evidenza delle seguenti caratteristiche del Modello adottato della società imputata: adozione in data anteriore alla commissione degli illeciti contestati agli imputati; istituzione di un Organismo di Vigilanza a composizione monocratica, regolato secondo le Linee guida di Confindustria; affidamento dell incarico al soggetto preposto al controllo interno, nonché responsabile dell Internal Auditing (a tal proposito, il Giudice ha ritenuto l incaricato, soggetto di comprovata esperienza e professionalità nello svolgimento dell incarico di vigilanza); collocazione dell Organismo in staff al Consiglio di Amministrazione; previsione di flussi informativi verso l OdV e di obblighi di verifica annuale per i principali atti societari e per la validità delle procedure di controllo; riunioni periodiche fra Collegio Sindacale e Organismo di Vigilanza per la verifica dell osservanza della normativa.

Corte d Appello di Milano, sentenza 21 marzo 2012 Con la sentenza 1824/2012, la Corte d Appello di Milano conferma la sentenza di primo grado che aveva assolto Impregilo S.p.A., dall imputazione ex D. Lgs. 231/2001. In particolare, la Corte ha affermato nuovamente come il modello adottato prevedesse «la costituzione di un organo di vigilanza (Compliance Officer) di composizione monocratica regolato secondo le linee guida della Confindustria, posizione ricoperta dal preposto al controllo interno nonché responsabile dell'internal auditing, figura sganciata dalla sottoposizione alla Direzione Amministrazione Finanza e Controllo e posta direttamente alle dipendenze del Presidente» Inoltre, nelle motivazioni la Corte dà evidenza dell idoneità del modello, «in quanto esso risulta[va] elaborato secondo le linee guida della Confindustria a loro volta elaborate in base ai principi espressi dal codice di autodisciplina di Borsa Italiana». Infine, la Corte conclude affermando che «il fatto che siano stati commessi reati di aggiotaggio da parte dei responsabili della società non può di per sé considerarsi elemento indicativo dell'inefficacia del modello se si considera che si tratta di tre reati di aggiotaggio commessi in assai breve arco di tempo e che vi è stata un'elusione fraudolenta da parte dei vertici del modello stesso mediante manipolazioni di dati forniti dagli uffici competenti da parte dei responsabili della società e che il comportamento fraudolento, in quanto tale, non può essere impedito da nessun modello organizzativo e in particolare nemmeno dal più diligente organismo di vigilanza».

Corte d Assise d Appello di Torino, sentenza 23 febbraio 2013 Con la sentenza n. 6/2013, la Corte d Assise d Appello di Torino ha confermato la sentenza di primo grado che aveva escluso la presenza dei necessari requisiti di indipendenza in capo all Organismo di Vigilanza della società Thyssen Krupp, poi condannata ex D. Lgs. 231/01. La Corte ha avuto modo di riaffermare come la presenza nell OdV di un dirigente dell azienda responsabile dell area sicurezza e ambiente e più precisamente di un soggetto «incaricato di organizzare una articolazione operativa dell azienda», abbia senz altro privato l Organismo della necessaria autonomia ed indipendenza. Nelle motivazioni la Corte dà evidenza del conflitto di interessi esistente in seno all Organismo, in considerazione del fatto che il dirigente, quale componente dell Organismo preposto ad effettuare verifiche anche in relazione al settore manutenzione impianti sotto la sua diretta responsabilità, fosse di fatto chiamato ad essere giudice di sé stesso. La Corte prosegue affermando che: «l accettazione di un tale conflitto di interessi da parte di Thyssen denota la sua propensione a strutturare il Modello e l Organo in termini burocratici e di facciata e non di effettiva prevenzione dei reati». La Corte, in conclusione, affronta ancora una volta il tema della composizione dell Organismo come elemento essenziale di valutazione dell efficace attuazione del modello, che può consentire il raggiungimento di tale obiettivo laddove sia capace di garantirne l autonomia da ogni forma di interferenza e/o di condizionamento da parte di qualunque componente dell ente.